حذر خبراء الأمن السيبراني من أن مستخدمي Mac يجب أن يكونوا على اطلاع على تحديثات المتصفح المزيفة التي يمكن أن تسرق كلمات المرور الخاصة بك.
تخدع حملة جديدة من البرامج الضارة التي تستهدف منتجات Apple المستخدمين لتنزيل “تحديث المتصفح” الذي يحتوي في الواقع على فيروس “Smash-and-Grab”.
يقوم مجرمو الإنترنت بإنشاء إعلانات ضارة على جوجل التي تنتحل شخصية العلامات التجارية التقنية المألوفة والمشروعة لجذب الأهداف المحتملة.
بمجرد دخولك إلى موقع الويب، ستطالبك النوافذ المنبثقة الزائفة بتنزيل تحديث المتصفح لعرض الموقع.
ومما يثير القلق أن المطالبات المزيفة مقنعة للغاية، وحتى المستخدم الذكي يمكن خداعه إذا لم يعرف ما الذي يبحث عنه.
هل يمكنك اكتشاف أن هذا مزيف؟ يستخدم مجرمو الإنترنت النوافذ المنبثقة المزيفة لخداع المستخدمين لتنزيل برامج ضارة لسرقة كلمات المرور
والبرمجيات الخبيثة، التي أطلق عليها باحثون في مجال الأمن السيبراني اسم ClearFake، هي نسخة جديدة من هجوم Atomic Stealer المستخدم على نطاق واسع.
ومع ذلك، استهدف هذا الإصدار السابق أجهزة Windows فقط، في حين أن هذا الهجوم الجديد يستهدف نظام التشغيل Mac OS وهو أكثر تعقيدًا في تقنياته.
في السابق، كان المتسللون يخفيون الفيروس في إصدارات مزيفة من البرامج الشائعة مثل Microsoft Office والتي كانوا يزعمون أنها “تم اختراقها” للتنزيل المجاني.
الآن، يقوم المتسللون بشراء الإعلانات على Google، على الأرجح من خلال مواقع الويب المخترقة، لجذب المستخدمين إلى مواقع الويب المزيفة.
يُطلب من المستخدمين بعد ذلك تحديث المتصفح الخاص بهم لعرض الصفحة ويتم إرشادهم حول كيفية فتح الملف.
بمجرد أن يقوم الهدف بتشغيل البرنامج، يسرق الفيروس بيانات المستخدم ويرسلها إلى “خادم القيادة والسيطرة” عن بعد ليتم جمعها واستثمارها من قبل المجرمين.
بمجرد دخول المستخدمين إلى موقع الويب المزيف، يُطلب منهم تثبيت تحديث للمتصفح يحتوي سرًا على البرامج الضارة
يتم إعطاء المستخدمين تعليمات حول كيفية تنزيل الملف الضار الذي يبدأ على الفور في سرقة المعلومات من أجهزة الكمبيوتر الخاصة بهم
يقول جيروم سيجورا، الباحث في Malwarebytes، الذي كان يتتبع البرامج الضارة، إن هذا “أحد أكثر مخططات الهندسة الاجتماعية انتشارًا وخطورة”.
وجد الباحثون، مختبئين داخل كود الفيروس، أوامر لاستخراج كلمات مرور المستخدمين، والتعبئة التلقائية، ومعلومات المستخدم، والمحافظ، وملفات تعريف الارتباط للمتصفح، وبيانات سلسلة المفاتيح.
وقال سيجورا: “قد تكون هذه هي المرة الأولى التي نرى فيها إحدى حملات الهندسة الاجتماعية الرئيسية، التي كانت مخصصة سابقًا لنظام التشغيل Windows، لا تتفرع فقط من حيث تحديد الموقع الجغرافي ولكن أيضًا من حيث نظام التشغيل”.
وأفاد الباحثون أن قناة Telegram التي يديرها منشئو الفيروس قد ظهرت.
مقابل 1000 دولار (797 جنيهًا إسترلينيًا) شهريًا، يمكن للمجرمين استئجار البرامج الضارة على أساس الاشتراك ونشرها بالطريقة التي يريدونها.
وجدت شركة Malwarebytes أن أحد “ممثلي التهديد” كان يوزع برامج ضارة تم شراؤها على القناة من خلال مئات المواقع الإلكترونية المخترقة.
وتقول شركة الأمن SentinelOne، التي تتعقب الهجوم أيضًا منذ اكتشافه، إن القناة تضم أكثر من 300 عضو في مايو.
ومن المثير للاهتمام أن باحثي SentinelOne لاحظوا أن الفيروس لا يبقى على كمبيوتر الهدف، بل يستخدم بدلاً من ذلك “منهجية التحطيم والاستيلاء بضربة واحدة”.
تم تصميم التحديثات المزيفة خصيصًا لنظام التشغيل Mac وتستهدف Safari وChrome، وهما متصفحي الويب الأكثر شيوعًا لنظام Mac
اكتشف الباحثون مخبأة داخل الكود أوامر لسرقة كلمات مرور المستخدمين والمحافظ وملفات تعريف الارتباط للمتصفح والمزيد
تحديثات المتصفح الزائفة على أنظمة Windows ليست شائعة وهي موجودة منذ سنوات، ولكن هذا النوع من الهجمات لم يتم استخدامه بعد لاستهداف أنظمة Mac.
ويأتي هذا التحذير وسط زيادة أوسع في الخطر الذي تتعرض له أجهزة Mac عبر الإنترنت، حيث وجدت التقارير زيادة بنسبة 1000 في المائة في عدد الجهات الفاعلة في مجال التهديد التي تستهدف منتجات Apple منذ عام 2019.
للبقاء آمنًا على الإنترنت، توصي Malwarebytes مستخدمي Mac بتنزيل أداة حماية الويب التي يمكنها حظر البنية التحتية الضارة المستخدمة في الهجوم.
بالإضافة إلى ذلك، يجب على المستخدمين توخي الحذر عند اتباع الروابط إلى مواقع غير موثوقة والتحقق بعناية قبل تنزيل أي محتوى.
اتصل MailOnline بشركة Apple وGoogle للتعليق.